Informatica e Ingegneria Online

Il software PolCat e le analisi investigative

Scritto il

Il software PolCat e le analisi investigative

Introduzione al software PolCat

Il suo nome, PolCat, deriva oltre che dal sostantivo Polizia dal nome del comando Linux Cat. Infatti era questo il comando che inizialmente veniva utilizzato per effettuare la clonazione di  un disco. PolCat nasce nel maggio 2002. In realtà si trattava di un precursore dell’attuale applicativo in dotazione e le sue dimensioni erano talmente ristrette da poter essere contenuto in un floppy disk. Ovviamente, come per il software odierno, Polcat offriva soltanto gli strumenti necessari per acquisire i dati (clonare un disco o produrre un file di evidence).

Esso è stato pensato prima di tutto come strumento per reperire  dati da dispositivi portatili, onde evitare di smontarli e comprometterne così o il funzionamento o il contenuto. Inizialmente è nato con interfaccia a linea di comando e questo richiedeva una maggiore conoscenza del sistema da parte degli agenti e per fare in modo che potesse essere facilmente utilizzato da tutti gli addetti del settore, si è pensato di aggiungere un’interfaccia abbastanza amichevole così da facilitare le normali opearazioni di clonazione o di evidence. Negli anni successivi, dato che GNU/Linux supportava un numero maggiore di hardware rispetto a MS-DOS, si è pensato di estendere le capacità di acquisizione dati anche a disposititvi come USB, PCMCIA, dischi SATA, etc.

PolCat e attività forense

PolCat è un’applicazione cosiddetta “live” che poggia cioè su sistemi operativi Linux e che non necessita di alcuna installazione su disco fisso ma viene caricata automaticamente all’avvio del PC (salvo un ordine non corretto dei dispositivi di boot). E’ pertanto necessario che la macchina sulla quale operare sia dotata di supporto di lettura ottica a livello hardware e impostare, tra le opzioni disponibili nell’elenco di boot del bios, l’unità di lettura ottica come principale di modo che possa caricarsi automaticamente all’avvio del sistema. La figura seguente mostra l’avvio dell’applicazione PolCat.

Il software PolCat e le analisi investigative - Scheramta di avvio di PolCat
Il software PolCat e le analisi investigative – Scheramta di avvio di PolCat

Questo strumento di attività forense è in grado di effettuare solamente una delle quattro fasi presentate nell’acquisizione dei dati. In aggiunta tuttavia sono state inserite alcune funzioni che potrebbero essere comunque utili per la fase di indentificazione e durante tutto il procedimento della catena di custodia dell’attività di digital forensic.

Modalità di operare di PolCat

PolCat è in grado di operare in due modalità differenti ma che conducono agli stessi risultati:

  • modilità RESCUE: è la modalità riservata agli utenti esperti dei sistemi operativi Unix Based perché lavora “a riga di comando”. In questa modalità tutte le operazioni forensi sono effettuate digitando manualmente i comandi sul prompt; tralasciamo volutamente questa parte proprio perché richiede specifiche competenze di utilizzo.
  • modalità NORMALE, si presenta all’operatore sotto forma di una serie di interfacce grafice in successione, mediante le quali è possibile scegliere quale operazione si vuol eseguire. E’ proprio su quest’ultima modalità che sono state svolte tutte le analisi del caso, ed è proprio quest’ultima che andremo a riportare in questa parte del lavoro.

 

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario